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2™- ° E C °NTRE-MESURE PAR MASQUAGE DE L ' ACCUMULATED 
DANS UN COMPOSANT ELECTRONI QUE METTANT EN OEUTOE UN 
ALGORITHMS DE CRYPTOGRAPHIE A CLE PUBLIQUE 



La present e invention conceme un precede de centre -mesure dans 
un composant electronique mettant en «uvre un algorithme 
cryptographique a cle publique. 

Dans le modele classique de" la cryptographie . a cle secrete 
deux personnes desirant communiguer par 1 > intermediaire d'un canal 
non securise doivent au prealable se mettre d' accord sur une cle 
secrete de chiffrement K. La fonction de chiffrement et la 
fonction de dechif frement utilisent la meme cle K. L' inconvenient 
du systeme.de chiffrement a cle secrete est que ledit systeme 
requxert la communication prealable .de la cle K entre les deux 
personnes par 1 < intermediaire d'un canal securise, . avant qu'un 
quelconque message chif f re ne soit envoye- " a. travers le canal non 
•securise. Dans la pratique, il est generalement difficile "da 
trouver un canal de communication parfaitement securise, surtout 
sx la distance separant. les deux personnes est importante. On 
entend par canal securise un canal- pour lequel • il- est impossible- 
de connaitre. ou de modifier les informations qui transited par 
ledxt canal. Un tel canal securise pent etre realise par un cable 
reliant deux terminaux, possedes par les deux dites personnes. • 

Whi t , Le „ COnCdPt ^ Crypt03ra * hie * ^ Publique .fut invente par 

'If 6 " Martin Hel1 - - "V ( IEEE Transactions on 
Information. Theory, volume 22, numero 6, pages 644-654, 1976) La 
cryptdgraphie a cle publique. permet de resoudre le probleme de la 
crvot 7 ^ C1 ' S a — f ~1 — securise. La 

rr iir ^> bas€e sur ia difficui -" - 

inf ki certa ^ Problemes (supposes) calculatoirdment 
l l t " ^ Par Diffie et. Hellman est la 

cots fL°:. dU l09arithmS - d±SCret — - — multiplied d'un 



On rappelle que dans un corps fini, le nombre d' elements du corps 
s'exprime toujours sous la' forme q A n, ou q est un nombre premier 
appele la caracteristique' du corps et n est un nombre entier. Un 
corps fini possedant q A 'n • elements est note GF(q A n). Dans le cas ou 
le nombre entier n est egal a 1, le corps fini est dit premier. Un 
corps possede deux groupes : un groupe multiplicatif et un groupe 
additifi Dans le groupe multiplicatif, 1* element neutre est note 1 
et la loi de groupe est notee multiplicativement par le symbole . 
et est appelee multiplication. Cette loi definit 1' operation 
d' exponentiation dans le groupe multiplicatif G: etant donne un 
element g appartenant a G et un entier d, le resultat de 
1 ' exponentiation de g par d est 1 .' element '. y tel que 
y=g d =g.g.g g (d fois) dans le groupe G. 

Le probleme du logarithme discret dans le groupe 
multiplicatif G d'un corps fini consiste a trouver, s'il 
existe, un entier d tel y=g A d, etant donne deux elements y 
et g appartenant. a G. 

Ainsi, il est possible pour deux personnes de 
construire une cle commune' K. Une personne A choisit un 
nombre aleatoire a, calcule la demi-cle K a =g A a dans G et 
envoie K a a une personne B. De la meme fagon, B choisit un- 
nombre aleatoire b, calcule la demi-cle K b =g A b dans G et 
envoie K b a A. Ensuite, A calcule K=K b A a et B calcule 
K=K a A b. De fagon remarquable, seules les personnes A 'et B 
sont capables de construire la cle commune K=g A (ab) . 

En plus de l'echange'de cles, la cryptographie a cle 
publique permet le chiffrement des donnees, la signature 
numerique, 1 ' authentif ication ou 1 ' ident i f i cat ion . ■ De 
nombreux systemes cryptographiques bases sur le probleme du 
logarithme discret sont presentes dans « Handbook of 
Applied Cryptography » par Alfred • Menezes, Paul van 
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Oorschot et Scott Vanstone, CRC Press/ 1997. On note a 
titre d'exemple le chiffrement d'El Gamal ou la signature 
nuraerique DSA . 

5 D'autres. groupes ont ete envisages pour implementer 

des analogues aux systemes cryptographiques construits dans 
le groupe multiplicatif •. d'un corps f ini , En 1985, Victor 
Miller et. Neal Kobllt.' ont independamment propose 
1 'utilisation de courbes elliptiques dans des systemes 

10 .cryptographiques. Levant age de systemes cryptographiques a 
base des courbe elliptiques est qu'ils. fournissent une 
securite equivalente aux autres systemes cryptographiques- 
mais avec des tallies de cle moindres . Ce gain en taille de 
cle xmplique une diminution des besoins en memoire et une 

15 reduction des temps de. calcul, ce qui rend 1 ' utilisation 
des courbes elliptiques part icul ierement ' adaptees- pour des 
•applications de type carte a puc.e.. 

,n m " m ° ire ' UnS C ° Urbe elliptique sur un corps fini 

GPqn) est 1'ensemble des points ; <x,y) appartenant a 
. . GF(q n) verifiant 1 ' equation : - ' / 

y^2 + a lX y + a 3 y = x^3 + a 2 x- 2 + a 4 x + a 6 , avec ai dans GF (qSi) 
et du point a 1 ■ inf ini O. Toute- courbe elliptique sur un corps 
peut s'exprimer sous cette forme. 
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^'ensemble des points (x,y) et le point a ' 1 -inf ini ferment un 
groupe abelien, dans leguel le point a inf ini est !• element 
neutre et dans leguel .1 . operation ■ de groupe est !• addition de ' 
Points, notes + et donnee par la regie bien connue de ia secante 
et de la tangente (voir par exempie - Elliptic' Curve Public Key 
Cryptosystems » par. Alfred Menezes, Kluwer, 1993).. Dans ce groupe 
la paire (x,y) , ou 1'abscisse x et 1'ordonnee y sent des- elements 
du corps GF(q-n), forme les coordonnees aff ines d'un point P de la 
courbe elliptique. 



II existe 2 precedes pour representor un point. d'une' courbe 
elliptique : 

- Premiefement, la representation en cpordonnees af fines 
; dans ce procede, .un point .P de la courbe elliptique 
est represents par ses coordonnees (x,y) ; 

- Deuxiement , la representation en coordonnees 
projectives. 

L'avantage de la representation en coordonnees projectives 
est qu'elle per.met d'eviter les divisions dans le corps 
fini, lesdites divisions etant les operations les plus 
cou.teuses en temps de calcul . 

La representation en coordonnes projectives la plus 
couramment utilisee, dite jacobienne, est celle consistant 
& representer un point P de coordonnees af fines (x,y) sur 
la courbe elliptique par les coordonnees (X,Y,Z), telles 
que x=X/Z^2 et y=Y/Z A 3 . La representation jacobienne d'un 
point n'est pas unique parce que .le triplet (X,Y,Z) et l£ 
triplet CX*2.X, X,*3.Y, X . Z) representent le mgme point quel 
que soit 1' element non-nul X appartenant au corps fini sur 
lequel est defini la courbe elliptique * 

Une autre representation en coordonnees projectives, dite 
homogene, consiste & representer un point P de coordonnees 
affines (x,y) sur la courbe elliptique par les coordonnees 

(X,Y,Z), telles que x=X/Z et y=Y/Z. La representation 
homoglne d'un point n'est pas unique parce que le triplet 

(X,Y,Z) et le triplet . (X.X, X,Y, X.Z) representent le meme 
point, quel que soit 1' element non-nul X appartenant au 

corps fini sur lequel est defini la courbe elliptique: 
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L'operation d'addition de points pertnet de definir une 
operation d' exponentiation sur courbe elliptique : etant 
donne un point P appartenant a une. courbe elliptique et un 
entier d, le resultat de 1 ' exponent iat ion de P par d est ie 
5 point Q tel que Q=d*P=P +P+ ... + P (d fo is). Dans le cas des 
courbes elliptiques, af in . d/ insister sur la. notation 
additive, 1' exponentiation est ' encore appelee 

multiplication scalaire. 

10 La slcurite des algorithms de cryptographie sur courbes 
elliptiques est basee sur la difficulty du probleme du 
logarithme discret dans le groupe G forme par les points 
. d'une courbe elliptique, ledit probleme consistant a partir 
de deux points Q et P appartenant ■ a G, de trouver, s'il. 

15 existe, un entier d tel que Q=d*P. 

II, existe de nombreux algorithmes cryptographiques 
bases sur le probleme du logarithme discret. Ainsi', il est 
possible de mettre en ffiU vre des algorithmes assurant 
l'authentification, la ■ conf identialite, l e - controle 
d'integrite et l'echange de cle. 

Un point commun a la • plupart " ' des algorithmes 
cryptographiques bases sur le probleme du logarithme 
discret dans un groupe G est qu'ils comprennenf comme " 
parametre un element g appartenant a . ce groupe. La cle 
privee est un, entier d choisi aleatoiremeht . La cle 
publique est un element y tel, que y=gM. Ces algorithmes 
cryptographiques font generalement . intervenir une 
exponentiation dans le calcul d'un element z^h^d ou d est 
la cle secrete et h est un element du groupe G. 

.Dans le paragraphe ci-dessous, on decrit un algorithme 
de chiffrement base, sur le probleme du logarithme discret 
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dans un groupe G, note mult iplicat ivement . Ce schema est 
analogue au schema de chif f remenf- d'El Gamal . Solent un 
groupe G et un element g dans G. La cle publique de 
chiffrement est y=g A d et la cle privee de dechif frement est 
d. Un message m est chif f re de la maniere suivante . 

Le chiffreur, ou personne desirant chiffrer un 
message, choisit un entier k aleatoirement et' calcule les 
elements h=g^k et z=y A k dans le groupe G, et c=R{z)© m ou 
R est une . f onction appliquant les Elements de G sur 
1' ensemble des messages et ® designe l'operateur du OU 
exclusif. Le chif f re correspondant a m est la paire (h,c). 

Le dechif fre.ur, ou ' personne desirant dSchiffrer • un 
message, qui possede la cle secrete d dechiffre m en 
calculant : 

z' =h^d=g A (k. d) =y^k et m=R (z' ) © c. 

Pour r^aliser les exponentiations necessaires dans les 
procedes de calcul decrits precedemment , plusieurs 
algorithmes. existent ': 

- algorithme d' exponentiation binaiire gauche-droite; 

- algorithme d' exponentiation k-aire gauche-droite; 

- algorithme d' exponentiation modifie k-aire gauche- 
droite; 

- algorithme d' exponentiation avec fenetres glissantes 
gauche-droite ; 

t algorithme d' exponentiation en representation signee 
de 1 ' exposant . 

Ces algorithmes sont detailles dans le chapitre 14 de 
« Handbook of Applied Cryptography » par A.J. Menezes, P.C. 
van Oorschot et S.A. Vanstone, CRC Press, 1997. Cette list'e 
•n'est pas exhaustive. 



L'algorithme ,le plus simple et le plus utilise est 
l'algorithme d' exponentiation binaire gauche-droite. 
L'algorithme d' exponentiation binaire gauche-droite prend 
en entree un element g d'un groupe G et un exposant d. 
L'exposant d est note d= (d (t) , d (t-1) , d (0) ) , ou (d(t),d(t- 
l),...,d(0)) est la representation binaire de d, avec d(t) le 
bit le plus significatif et d(0) le bit le moins 
significatif. L'algorithme retourne en sortie 1' element 
y=g A d dans le groupe 

L' algorithme d' exponentiation binaire gauche-droite 
comporte les 3 etapes suivantes :* 

1) Initialiser le registre A avec 1' element neutre de G 

2) Pour i allant de t a 0 executer : 
2a) Remplacer A par A^2 

2b) • Si d(i)=l remplacer A par A.g 

3) Retourner A.' 

L'algorithme d'. exponent iatibn k-aire gauche-droite prend en 
entree un element g d'un. groupe G et un exposant d note 
d=(d(t) ,d(t-l) d(0)), ou (d(.t) ,d(t-l) ,...,d{0) ) est la 

representation k-aire de d, c'est-a~dire chaque chiffre 
d(i) de la representation de d est un entier compris entre 
0 et 2^k-l pour un entier k£l, avec d(t) le chiffre le plus 
significatif et d(0) le chiffre le moins significatif, 
L'algorithme retourne"- en; sortie. 1 ' element y=g A d dans le 
groupe G et cbmporrte les 4 etapes suivantes : 

1) Precalculs : 

la) Def inir gi=g ' ~ 

lb) Si k>2, pour i allant de 2 a (2 A k-l) calculer 



2) Initialiser le registre A avec l'el£ment neutre de G 

3) Pour i allant de t a 0 executer : 
3a) .Remplacer A par A A (2^k) 

3b) Si d(i) est non-nul, remplacer A par A.g A 

4) Retourner A. 

Dans le cas oil k est egal a 1, on remarque que 1 ' algori thme 
d' exponentiation k-aire gauche-dtoite n'est autre que 
1 ' algorithme* d ' exponentiation binaire gauche-droite. 

L'algorithme d' exponentiation ..k-aire gauche-droite peut 
etre adapte pour prendre en entree une representation 
signee de . 1'exposant d. L'exposant d est donne par la 
representation (d(t) ,d(t-l) ,'. ;w d(0) ) dans laguelle chaque 
chiffre d(i) est un entier. compris entre -(2^k-l) et 2^k-l 
pour un entier k£l, avec d(t) le chiffre le plus 
significatif et d(0) le chiffre le moins signif icatif . 
L'Stape 3b de l'algorithme precedent est alors remplacee 
par 

3b') Si d(i) est strictement positif, remplacer A par 
A.gi ; et si d(i) est strictement negatif, 
remplacer A par A.(g ± ) A (-l) 

Cette adaptation est part iculi£rement interessante quand 
1' inverse des Element s ' g A , note (gi)^(-l), est facile ou 
p.eu couteux £ calculer. Ceci est par exemple le cas dans le 
groupe G des points d'une courbe elliptique. Dans le cas ou 
1'inverse des elements gi n'est pas facile ou trop couteux 
£ calculer, leur valeur est precalculee. 

L'algorithme d' exponentiation modifie k-aire gauche-droite' 
reduit les precalculs de l'algorithme d' exponentiation k- 
aire gauche-droite en ne calculant que g*2 et les 
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puissances impaires de g lorsque .k£2 . II- a* les m§mes 
entries que 1 ' algori thme d' exponent iat ion k-aire gauche- 
droite et retourne en sortie 1' element y=g A d dans le groupe 
G. II comporte les 4 etapes suivantes : 

1) Precalculs : 

.la) Definir .g x = g et calculer g2=g^2 

lb) Pour i allant de la (2*(k-l)-l) : calculer 
g2i + i=g"^(2i + i) 

2) initialiser le registre A avec 1' element neutre de G 

3) Pour i allant de t a 0 executer : 

3a) Si d(i)=0, remplacer A par A^(2^k) 

3b) Si d(i) est non-nul, ecrire d(i)=2 A> v,u avec u 

impair, et remplacer A par '[A* ( 2 * ( k- v) ) . g u ] * (2 A y ) 

4) Retourner A. 

Tout c.omme l'algorithme d' exponent iat ion modifie k-aire 
gauche-droite, l'algorithme d' exponentiation avec fenetres 
glissantes gauche-droite reduit non seulement les 
precalculs mais aussi le nombre moyen . de multiplications 
dans le groupe G. II prend en entree un element g d'un 
groupe G, un exposant d,- note d= (d ( t ) , d ( t - 1 ) , ... , d ( 0 ) ) , oil 
(d"(t) /d'(t-l) d (0) ) est la representation biriaire de d et 
un entier k>l appelS la largeur de la fenetre. II retourne 
en sortie 1' element y=g A d dans le. groupe G et comporte les 
4 etapes suivantes : 

1) Precalculs : 

la) Definir g x = g et calculer g2=g^2 

lb) Pour i allant- de 1' a. (2*(k-l)-l) : calculer 
g 2 i+i=g^ (2i + i) 

2) Initialiser le registre A avec 1'element neutre de G' 
et le compteur i avec la valeur t 

3) Tant que i est positif oil nul executer : 
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3a) Si d(i)=0, remplacer A par A A 2 et i par i-l 

3b) Si d(i)=l, executer : • 

3b- 1) Trouve'r la plus longue cha£ne binaire 
d(i) ,d(i-l) , ...,d(j) telle que i-j+l^k et d(j)=i 
3b-2) Definir u comme 1 ' entier ayant pour 

representation binaire (d ( i ), d ( i - 1 ),..., d (j ) ) 
3b-3) Remplacer A par A A (2 A (i- j +1) ) ,g u et i par 

4)Retourner A. 



Les algorithmes d' exponentiation pour le calcul de 
y=g A d dans le groupe G decrits pr^cSdemment ainsi que leurs 
notnbreuses variantes parcourt l'exposant d de la gauche 
vers la droite, c ' est ~ a- dire de la position la plus 
15 significative vers la position la moins significative. De 
facon remarquable , on distingue deux types d' operations : 

- Les multiplications du registre A, appele 
accuraulateur, par lui-m^me ; 

- Les multiplications du registre A par la ■ valeur 
constan.te g ou une de ses puissances gi=g"*"i . 

Lorsque g (respectivement une des ses puissances gi) 
presente une structure particuliere , la multiplication de 
1 ' accuraulateur A par g dans le groupe G (respectivement une 
de ses puissances g £ ) peut etre substantiellemerit plus 
rapide que 'la multiplication de deux elements arbitraires 
de G. 

Notamment, lorsque le groupe G est le groupe multiplicatif 
du corps premier GF(q) et que g (respectivement une de ses 
puissances gi) est represent! comme un entier' en simple 
precision, le calcul de.A.g (respectivement A.gi) en multi- 
precision dans G peut se faire en ■ un temps lineaire. Par 
exemple, si g est egal a 2, la multiplication de A par g=2 
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revient a addit ionner ' A avec lui-meme dans le groupe G : 
A. 2=A+A. 

Les algorithmes d' exponentiation decrits precedemment 
sont donnes en notation multiplicative ; en d'autres mots, 
la loi de groupe du groupe G est. notee . (multiplication). 
Ces algorithmes peuvent etre donnees en notation additive 
en remplagant les multiplications par des additions ; en 
d'autres mots, la loi de groupe du groupe G est notee + 
(addition) . Ceci est par exemple le cas du groupe des 
points d'une courbe elliptique qui est. le plus souvent 
donn£ sous forme additive. Dans ce cas, le cas de Q=d*P sur 
une courbe elliptique peut se calculer par n'importe lequel 
des algorithmes decrits precedemment en rempl.agant 
1/ operation de multiplication par 1' addition de points sur 
ladite. courbe elliptique. Similairement et de fagon 
remarquable, on distingue deux types d'operations : 

- Les additions du registre A, appele accumulat eur , par 
lui-meme ; * 

- Les additions du registre A par la valeur constante P 
ou un de ses multiples Pi=i*P. 

Lorsque le point P ( respect ivement une , des ses* multiples 
Pi) a une structure particuliere , I 'addition de . 
1 ' accumulateur A par P (respectivement un de ses multiples 
P±) peut §tre substant iellement plus rapide que 1' addition 
de deux points . arbitraires sur une courbe elliptique. 
Notamment, si le point P est .reprgsente en coordonnees 
projectives (de f agon " j acobienrie ou homogene) par P=(X,Y,Z) 
avec la coordonnee en Z egale a 1, le hombre d'operations 
pour calculer 1' addition: des points. A et P en coordonnees 
projectives est reduit . 

«. * • 

II est apparu que 1 ' implementation sur carte a puce 
d'un algorithme cryptographique a cle publique base- sur le 
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logarithme discret etait vulnerable & des attaques 
Gonsistant^ en une analyse different ielle d'une grandeur 
physique permettant de retrouver la cle secrete. Ces 
attaques sont appelees atUques de type DPA, acronyme pour 
5 Differential Power Analysis et ont notamment ete devoilees par 
Paul Koch.er (Advances in -Cryptology - CRYPTO '99, volume 1966 de 
.Lecture Notes in Computer Science, pages 3 88-3*97, Springer-Verlag, 
1999) . Parmi les grandeurs physiques qui peuvent §tre exploitees §l 
ces fins, on peut citer la consommation en courant, le champ 
10 electromagnet ique . . . Ces attaques sont basees sur le fait que la 
manipulation d'un bit, c'est a dire son traitement par une 
instruction particuliere, a une .empreinte particulidre sur la 
grandeur physique consid<§r£e selon sa valeut. 

15 En particulier, lorsqu'une instruction manipule une donnee 
dont un bit particulier est constant, La valeur des autres 
bits pouvant varier, 1' analyse de la consommation de 
courant liee a 1 ' instruct ion montre que la consommation 
moyenne de P instruction n'est pas la m§me suivant que le 

20 bit particulier prend la valeur 0 ou 1 . L'attaque de type 
DPA permet done d'.obtenir des informations supplement aires 
sur les donnees intermediaires manipulees par le 
microprocesseur du composant electronique lors de 
1' execution d'un algorithme cryptographique. Ces 

25 informations supplementaires peuvent dans' certain cas 
permettre de reveler les paramdtres priv6s de If algorithme 
cryptographique, rendant le. systeme cryptographique 
' vulnerable . 
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Une parade efficace aux attaques de type DPA est de rendre 
aleatoire les entrees de 1' algorithme d 1 exponentiation utilise 
pour calculer y=gM. En d 1 autres termes, il s'agit de rendre 
1'exposant d et/ou 1' element g' aleatoire. En notation additive, 
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dans le calcul de Q=d*P, il s'agit de rendre l'exposant d et/6u 
1' element I? aleatoire. 

Des proc§d£s de contre-mesure appliquarit ce principe sont 
5 connus. De tels procedes de contre-mesure sont ' notamment decrits 
dans un article de . Jean-Sebastien Corbn (Cryptographic Hardware 
and Embedded Systems, volume 1717 de Lecture Notes in Computer 
Science, pages 2 92-3 02, Springer- Verlag, 1999) . . 

10 Notamment, dans cet article, un procede de contre-mesure consiste 
a masquer le point P du groupe des points d'une courbe elliptique 
definie' sur le corps GF(q^n) en utilisant des coordonnees 
projectives de ce point/ definies de fagon aleatoire. . Dahs 
1' article pr£cite, on tire ainsi un nombre aleatoire X non-nul 

15 dans GF(q A n) et on represente le point P=(x,y) par • des ' coordonnees 
projectives fonction de ce nombre aleatoire, par exemple sous la 
forme P=(X^2.x, X*3 :y,X) en representation jacobieiine, ou P=(A,.x, 
X.y, X) en representation homogSne. On applique l'algorithme 
d 'exponentiation a ces coordonnees. On obtient une representation 

20 du point Q en coordonnees projectives, desquell.es on deduit 
(calcule) les coordonnees af fines de ce point . 

Un- autre procede de contre-mesure connu par 1 ' homme du metier 
pour masquer l'element g du groupe mult iplicat if G d'un corps fini 
GF (q A n) consiste & representer cet element dans une extension de 

25 GF(q^n) , de fagon aleatoire. Par exemple, dans le cas d'un corps 
premier GF (q) , une extension de GF(q) est donnee par 1'anneau 
R=Z/ (qk) obtenu en quotient ant 1'anneau des entiers Z par l'anneau 
qkZ pour un entier k donne. On tire alor's un nombre aleatoire X 
dans l'anneau Z/ (k) et on., represente l'element g par g* = g+A,.q. 

30 On applique .1 ' algori thme d' exponentiation a l'element g* 
dans R et ' on obtient line representation de l'element 
y*=(g*)^d dans R, de . laquelle on deduit (calcule) la 

valeur de y=g*d dans G en reduisant y* modulo q. 
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Ce proc<§d£ de contre-mesure s' applique ggalement dans le 
cas d'un §l§ment g d.u groupe' mul tiplicat if G d'un corps 
fini GF(q A n) avec n>l. Si le corps GP(q A n) est represents 
comme le quotient de l'anneau polynomial GF(q)[X] par. un 
polynSme irreductible p de de-gr<§ n sur GF(q),' alors une 
extension de GF (q A n) est donnde par l'anneau 
R=GF (q) [X] / (p.k) obtenu en quotientant l'anneau polynomial 
GF(q) [X] par le produit des polynomes p et k avec k donne . 
On tire alors un polynSme aleatoire X (X) dans l'anneau GF[X]/(k) 
et on represente 1' element g par g*=g+2^p. ' On ' applique 
l'algorithme d' exponentiation a 1' Pigment g* dans R et on 
obtient une representation de 1' element y*=(g*) A d dans R, 
de laquelle on dSduit (calcule) la valeur de y=g A d dans G 
en.rSduisant y* modulo p(X)-. 

I,' inconvenient de 1' ensemble de ces procedes rendant aleatoire 
g ou P decrits ci-dessus est que si 1' element g ( respect ivement P) 
du groupe G est rendu aleatoire dans le calcul de y=g A d 
(respectivement Q=d*P) , alors la structure particuliere de g . 
(respect ivement P) ne peut plus Itre exploited pour accelerer 
ledit calcul. 

Un objet de la presente invention est un procede de contre- 
mesure, notamment vis a vis des attaques de type DPA. 

Un autre objet de 1 '. invention est un procSdg de contre-mesure 
aise a mettre en oeuvre. 

Par rapport aux procedes de contre-mesure- connus, le procedg 
propose- presente 1 ' avantage . d' §tre ' plus rapide pour proteger 
1' Evaluation de . y=g A d dans un groupe G note de facon 
multiplicative (respectivement 1' evaluation de Q=d*P - si le groupe 
est. note de facon additive) lorsque l'algorithme d' exponentiation 
utilise pour ce calcul est de type . gauche-droite et que g 
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(respectivement P) a une structure particuliere ;' les algorithmes 
d' exponentiation gauche7droite ayant la propriety . remarquable 
d'avoir des operations de multiplication de 1 ' accumulat eur A 
par la valeur constante g ou une de ses puissances gi=g^i 
(respectivement des operations d' addition de 1 ' accumulat eur A par 
la valeur constante P ou un de.ses multiples Pi=i*P) . 

L'idee la base de i 1 invention est de rendre aleatoire 

1' accumulat eur A dans 1 ' algorithme d' exponentiation gauche-droite 
utilise 1 Ce procede de masquage peut se faire au debut de 
1' algorithme ou encore de fagon 'deterministe ou probabiliste 
durant 1' execution de l'algorithme. Ainsi le calcul de y=g*d dans 
le groupe G note de fagon multiplicative (respectivement Q=d*P si 
le groupe G est note de fagon multiplicative) est rendu aleatoire 
sans que la structure de l' element g' (respectivement P) ou une.de 
ses puissances gi=g^i (respectivement un de ses multiples Pi=i*P) 
ne soit alteree • 

L' invention concerne done un procede de contre-raesure, dans, un 
composant electronique mettarit ■ en oeuvre ' un algorithme 
cryptographique ' a cle publique, compren&nt un calcul 
d 1 exponentiation, * avec un algorithme 4' exponentiation de type 
gauche-droite, de type y=g A d oil g et y sont des elements du groupe 
determine G note de. fagon multiplicative et d est un nombre 
predetermine, caracterisS en ce qu'il comprend une etape de tirage 
aleatoire, au debut ou durarit 1' execution dudit algorithme 
d' exponentiation, de fagon deterministe ou probabiliste, pour 
masquer 1 ' accumulat eur A. de sorte que la structure de 1' element g 
ou une de ses' puissances gi=g A i ne .soit P as . alteree, Ce procede 
S' applique de la meme fagon si le groupe G est .note de fagon 
additive. 
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D'autres caracteristiques et avantages de 1« invention sont' 
presentees dans les descriptions ' suivantes, faites en reference a 
des mode's de realisation particuliers . 

On a vu que 1'algorithme d' exponentiation le plus simple et le 
plus utilise dans un .groupe G est 1'algorithme d' exponentiation 
binaire gauche-droite et que ce type d' algorithme est plus 
efficace lorsque 1' element de G . en entree a une structure 
particuliere. Par ailleurs, ■ la' plupart des systemes 

cryptographiques dont la securite est basee sur le probleme du 
logarithme discret sont constructs dans le groupe multiplicatif 
d'un corps fini GF(q)' avec q premier ou .dans le . groupe des points 
d'une courbe elliptique definie sur un corps fini. 

■ Soit done G le groupe . multiplicatif d'un corps fini GF(q) avec 
q premier et soit un algorithme d' -exponentiation binaire gauche- 
droite prenant en entree un element g de G . represents comme un 
entier en simple precision et un exposant d donne par la ' 
representation binaire (d(t) ,d(t-l> ,.~,d(0) ) , et retournant en 
sortie l'element y=g A d dans le groupe G. Dans l'invention, 
1'accumulateur dudit algorithme d' exponentiation est masque de 
facon aleatoire. Ainsi, un precede de contre-mesure selon 
l'invention applique, au groupe multiplicatif G d'un corps premier 
GF(q) peut s'ecrire comme suit : . 

1) Determiner un entier k definissant la securite du masquage 

2) Initialiser 1'accumulateur A avec 1' entier 1 

3) Pour i allant de t a 0, executer : 

3a) Tirer un entier aleatoire X compris. entre 0 et k-l et 

remplacer 1'accumulateur A par A+^..q (modulo k.q) 
3b)- Remplacer A par A A 2 (modulo k.q) 
3c) si d(i)=l remplacer A par A.g (modulo k.q) 

4) Retourner A (modulo q) . 
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Typiquemment , le parametre de securite k est fix6 a 32 ou 64 bits.. 
De fagon remarquable a l'etape- 3c, la multiplication se f ait • avec 
l'entier g represents en simple precision . 

De preference, le masguage de 1 ' accumulateur A a l'etape 3a ne se 
fait qu'au debut de 1 7 exponentiation. On obtient ainsi le procede 
de contre-mesure suivant : 

1) Determiner un eritier k' definissant la sScurite du masquage 

2) Tirer un entier aleatoire X compris entire 0 et k-1 et 
initialiser 1 ' accumulateur A. avec l'entier 1+X . q (modulo 
k.q) 

3) Pour i allant de t-1 & 0, executer : 

3a) * Remplacer A par A^2 (modulo k t q) 

3b) Si d(i)=l remplacer A par A.g (modulo k.q) 

4) Retourner A (modulo q) . 

De fa<?on remarquable a l'etape 3b, la multiplication se fait avec 
l'entier g represents en simple precision. 

Une autre application int'Sressante de \ 1' invention concerne 
1' exponent at ion dans le groupe 6 des points d'une courbe 
elliptique dSfinie sur un corps fini GF(q^n). Dans ce. groupe G, 
note de fagoji additive, 1/ inversion d'un point P, notee -P, est 
une operation peu couteuse de sorte qu'il est interessant de 
remplacer l'algorithme d' exponentiation binaire gauche-droite * par 
sa version signee corame expiique dans uh article de Frangois 
Morain et de Jorge Olivos .(Theoretical . Informatics and 
Applications, volume 24, pages 531— 543, 1990) • Soit done G le 
'groupe des points d'une' courbe elliptique definie sur un corps 
fini, GF(q^n) et soit un algorithme d' exponentiation binaire signe 
gauche-droite prehant en entree un point P represents en 
coordonnSes af fines par P=(x,y) et un exposant d donne par la 
representation binaire signee, (d(t+l) ,d(t) ,...,d(0) ) avec d(i)=0, 1 



ou -1 pour 0<i<t et d(t+l)=l / et retournant en sortie le point 
Q=d*P dans ie groupe G en coordonnees. af fines. Dans 1' invention, 
l'accumulateur dudit algorithm^ d' exponentiation est un triplet de 
valeurs dans GF(q^n) et est masque de facon aleatoire. Ainsi, un 
5 procSdg de contre-mesure selon 1' invention applique au- groupe G 
des points d'une courbe elliptique definie sur un corps fini 
GF(q^n) peut s'£crire comme suit : 

1) I Initialiser l'accumulateur A=(A X/ A Y ,A Z ) avec le triplet 
10 (x /y ,l) 

2) Pour i allant de t S 0, ex€cuter : 

2a). Tirer un Element non nul aleatoire X dans GF (q A n) et 
rempiacer l'accumulateur A=(A X ,A Y ,A Z ) par 

(X*2 .A x ,\^3 . A y , X.A Z ) 
15 -2b) Rempiacer A=(A X ,A Y ,A Z ) par . 2*(A X ,A Y ,A Z ) en 

representation jacobienne, stir la courbe 

elliptique 

2c) Si d(i) est non-nul rempiacer A=(A x ,A y ,A z ) par 
(A X ,A Y ,A Z ) +d(i)> (x,y, 1) en representation jacobienne, 
20 sur la courbe elliptique 

3) Si A z = 0 retourner le point a l'infini ; sinon 
.retourner (A X /(A Z )^2, A Y /(A Z ) A 3). • 

De facon remarquable a l'Stape .2c, 1' addition sur la courbe 
25 elliptique se fait avec le point P=(x,y,i) dont la coordonnee en Z 
est egale a 1. ' 

De preference, le masquage de l'accumulateur A a l'etape 2a ne se 
fait qu'au d6but de 1 'exponentiation. On obtient ainsi le procede 
30 de contre-mesure suivant :' 
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1) Tirer un Slement non nul stl£atoire X dans GF(q A n) et 
initialiser 1 ' accumulateur A=(A X/ A Y ,A Z ) avec le triplet 
(r2.xA A 3.y, X) 

2) Pour i allant de t a 0, ex^cuter : 

5 2a) Remplacer A=(A X ,A Y ,A Z ) par . 2*(A X ,A Y ,A Z ) en 

representation jacobienne, sur la courbe 
elliptique . 

2b) Si d(i) est non-nul remplacer A=(A X ,A Y/ A Z ) par 
(A X ,A Y ,A Z ) +d(i) * (x,y, 1) en representation jacobienne, 
10 sur la courbe elliptique 

3) Si A z =0 retourner le point a l'infini ; sinon retourner 
•(A X /(A Z )"2, A Y /(Az) x 3). 

De fagon remarquable & l'etape 2b, 1' addition sur la courbe 
15 elliptique se fait avec le point P=(x,y,l) dont la coordonn^e en Z 
est egale a 1 . 

Si les points de la courbe elliptique sont representes.. de fagon 
homogene, les deux procedes de contre-mesure decrits precedemment 
2 0 • deviennent respect ivement : 

1) Initialiser I'accumulateur A= (A X/ A Y , A z ) avec le triplet 
<x,y,l) 

2) Pour i allant de t a 0, executer : 

25 • 2a) Tirer un e.lement non nul . aleatoire X dans GF(q^n) et. 

remplacer I'accumulateur A=(A X/ A Y ,A Z ) par (A,. A X/ A, . A Y , 
X . A z ) 

2b) Remplacer . A=(A X ,A Y/ A Z ) ' par 2*(A X ,A Y ,A Z ) en 

representation homogene, sur la courbe elliptique 
30 2c) Si d(i) est. non-nul remplacer A=(A X ,A Y/ A Z ) par 

(A X , A Y ,A 2 ) +d(i) * (x,y, 1) en representation homogene , 
sur la courbe elliptique 



3) Si A z =0 retourner le point a l'infini ; sinon retourner 
(A x /A z , A y /A 2 ) . 

De fa<?on remarquable 3. 1'etape 2c, 1' addition sur la courb,e 
elliptique se fait avec le point P=(x,y,l) dont la .coordonnee en Z 
est egale & 1 . 

1) Tirer un element non nul aleatoire X dans GF(q^n) et 
initialiser 1 ' accumulateur A=(A X ,A Y/ A Z ) avec le triplet 
(A,.x,A,.y, X) 
. 2) Pour i allant de t a 0, executer : 
2a) .Remplacer A- (A x , A Y , A 2 ) par 2*(A X ,A Y/ A Z ) en 

representation homogene, sur la courbe elliptique 
2b) Si d(i) est non-nul remplacer A=(A X ,A Y ,A Z ) par 
(A X/ A Y/ A Z ) +d(i) * (x,y, 1) en representation homogene, 
sur la courbe elliptique 
3) Si A z = 0 retourner le point a l'infini ; sinon retourner 
<A X /A Z , A Y /A Z ) . 

De fagon remarquable a 1'etape 2b, I' addition sur la courbe 
elliptique se fait avec le point P=(x,y,l) dont la coordonnee en Z 
est egale k 1. . 

De fagon gen^'rale, le procede de contre-mesure selon* 
1' invention s' applique a tout algorithme d' exponentiation de type 
gauche- droit e dans un groupe G, note de facjon multiplicative ou 
additive. 
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REVEND I CATI ONS 

Precede de centre -mesure dans un composant elect ronique 
mettant. en oeuvre • un algorithme cryptographique cle 
publique, comprenant lin calcul d 1 exponentiation, avec un. 
algorithme d' exponentiation de* type gauche- droit e, de type 
y=g^d ou g et y sont des elements du groupe determine G 
note de fagon multiplicative et. d est un ' nombre 
predetermine, caracterise en ce qu'il comprend une etape de 
tirage al^atoire, , au debut ou durant 1' execution dudit 
algorithme d' exponentiation de fagon deterministe ou 
probabiliste, pour masquer l'accumulateur A. 

ProcSde de contre-mesure selon la revendication 1, 
caracterise en ce que le groupe determine G est. note de 
fagon additive. 

Procede de contre-mesure ' selon la revendication 1- 
caracterise en ce que le : groupe G est lq groupe 
multiplicatif d'un corps fini note GFtq^n), n etant un 
entier. 

Procede de contre-mesure selon la revendication 3 
caracterise en ce que 1' entier est n £gal a 1 i n=l. 

Procedg - de contre-mesure selon la revendication 4' 
caracterise en ce qu' il comprend leis etapes suivantes : 

1) Determiner un entier k d6f xnissant . la s^curite du 
masquage et donner d par la representation binaire 
(d(t) ; d(t-l) , d(0) ), /: " 

2) Initialiser l'accumulateur A avec 1'entier 1 

3) Pour i allant de t a 0*, execiiter : 

3a) Tirer un entier aleatoire X compris e'ntre 0 et 

k-1 et remplacer l'accumulateur A .par A+X.q 
{modulo k.q) 



* 3b) Remplacer A par A^2 (modulo k.q) 

3c) Si d(i)=l remplacer A par A.g (modulo k.q) 

4) Retourner A (modulo q) • 

Procede de contre-tnesure selon la revendication 4 
caracteris§ en ce qu' il comprend les etapes suivantes : 

1) Determiner un entier k definissant * la securite du 
masquage et donner d par la representation binaire 
(d(t) , d(t-l), d(0)) ; 

2) Tirer un entier aleatoire X. compris entre 0 et k-1 

et initialiser 1 .'.accumulateur A avec l'entier 1+X . q 
(modulo k.q) 

3) Pour i allant de t-1 a 0, executer : 

3a) Remplacer A par A A 2 (modulo k.q) 

3b) Si d(i)=l remplacer A par A.g (modulo k.q) 

4) Retourner A (modulo q) . 

Proced£ de . contre-mesure selon la revendication 2 
caract£rise en ce 1 ' algorithme d' exponentiation s ' applique 
au groupe G des points d'une courbe elliptique defini sur 
un corps fini GF(q A ri) . 

Procede de contre-mesure selon la revendication 7 
caracteris£ en ce qu' il . comprend les etapes suivantes : 

1) , Initialiser 1 ' accumulateur A= (A X/ A Y , A z ) avec le triplet 

(x,y,l) et donner d par la representation binaire 
signee (d(t+l), d(t)., d(0)) avec d (t+1) =1 ; 

2) Pour i allant de t a 0, executer : 

2a) Tirer un element non nul. aleatoire X dans 
GF(q^n) et remplacer 1 ' accumulateur A=(A X/ A y ,A z ) par 
(X*2 . A X ,X*3 . A y , ■ X.A Z ) 

2b) Remplacer A=(A X ,A Y/ A Z ) par 2*(A X/ A y ,A z ) en 
representation 'jacobienne, sur la courbe 
elliptique 
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2c) Si d(i) est non-nul' remplacer A= (A x , A Y/ A z ) 
par (A X ,A Y , A z ) +d(i) * (x,y, 1) en representation 

jacobienne, sur la courbe elliptique 

3) Si A z = 0 retourner le point a 1'infini ; sinon 
.5 retourner (A X /(A Z )^2, A Y /(A Z )^3). 

9. Proc^de de contre-mesure selon la revendication 7 
caracterise en ce qu'il comprend les etapes . suivantes : 

1) Tirer un element non nul al^atoire X dans GF(g A n) , 
10 - initialiser 1 ' accumulateur A=(A X ,A Y ,A Z ) avec le 

triplet (X*2 . x, X A 3 . y, .X) et . donner d par la 

representation binaire signee (d(t+l), d(t), 

d(0)) avec d(t+l)=l ; 

2) Pour i allant de t 5 0, executer : 

15 2a) Remplacer A=(A X ,A Y/ A Z ) par 2*(A X/ A Y/ A Z ) en 

representation jacobienne, sur la courbe 

elliptique 

2b) Si d(i) est non-nul remplacer A~.(A X , A Y , A 2 ) 
par (A x , A Y , A z ) +d (i) * (x , y , 1) en representation 

20 * jacobienne, sur la courbe elliptique 

3) Si A z = 0 retourner le point a 1'infini ; sinon 
retourner (A x /(Az) A 2^ A Y /(A Z )^3). 

* 10* Procede de contre-mesure selon . la revendication 7 
25 caracterise en ce qii'il comprend les etapes suivantes *: 

1) Initialiser 1 ' accumulateur A=(A X/ A Y/ A Z ) avec le triplet 
(x/y;i) et donner d par la representation binaire 
signee (d(t+l) , d (t) , d(0)) avec d(t+l)=l ; 

2) Pour i allant de t a 0, executer : 

30 2a) Tirer un element non nul aleatoire X dans 

GF (q A n) et remplacer 1 ' accumulateur A= (A X/ A Y/ A z ). par 
( A, . A x , A, . A Y ; A,,A Z ) 

2b) Remplacer A=(A X ,A Y/ A Z ) par 2*(A X ,A Y ,A Z ) en 
representation hdmogene, sur la courbe elliptique 
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2c) Si d{i) est' non-nul remplacer A=(A X ,A Y ,A Z ) 
.par (A X ,A Y/ A Z ) +d(i) * (x,y, 1) en representation 

homogene, sur la courbe elliptique 

3) Si A z =0 retourner le point a 1'irifini ; sinon 
retourner (A X /A Z/ A Y /A Z ) . 

Procede de contre-mesure selon la revendication 7 
caracterise en ce qu'il comprend les Stapes suivantes : 

1) Tirer un element non nul aleatoire A, dans..GF(q A n) , 
initialiser 1 ' accumulateur A=(A X ,A Y ,A Z ) avec le 
triplet (X.x,A,.y, X) et donner d par la 
representation binaire signee (d(t+l), d(t) , 
d(0)) avec d(t+l)=l ; 

2) Pour i allant de t a 0, ex6cuter : 

2a) Remplacer ' A= (A x , A Y , A z ) par 2*(A X ,A Y ,A Z ) en 
representation homogene, sur la courbe elliptique 

2b) Si d(i) est non-nul remplacer A= (A X/ A Y , A z ) 
par (A x ,A Y ,A z )+d(i) * (x,y, 1) en representation 

homogene, sur la courbe elliptique 

3) Si A z =0 retourner le point a l'inf ini ; sinon 
retourner (A x /A z , A y /A z ) . 

Composant electronique utilisant le procede de contre- 
mesure selon l'une quelconque des revendications 
precedentes. 
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